一种数据交互方法、装置及系统的制作方法
一种数据交互方法、装置及系统的制作方法
【技术领域】
[0001]本发明涉及通信领域,尤其涉及一种数据交互方法、装置及系统。
【背景技术】
[0002]目前的国内外大中型企业为了企业数据的信息安全,所部署的内外网网络都是物理隔离,内网可以通过代理服务器访问外网,但外网无法访问内网,因此,部署在外网上的业务系统,在与内网系统做数据交换时变得非常困难。
[0003]在现有技术中,通过下述几种方式来实现外网访问内网:
[0004]I)数据定时同步更新:根据外网业务查询的需要将部分数据定时导入外网数据库,外网录入的信息定时导入至内外数据库。
[0005]2) VPN:在内网中架设一台VPN服务器,VPN服务器有两块网卡,一块连接内网,一块连接公网,利用VPN服务器作为跳板进入企业内网,实现访问内网数据。利用VPN公网主机等同接入公司内网,可以非常方便地访问内网资源。
[0006]3)反向代理:建立内外网双向访问专向通道,实现访问内网数据。
[0007]上述几种方式存在如下缺陷:
[0008]I)数据定时同步更新:由于数据存在时间差,导致通过外网办理的业务成功与否存在不确定性,影响用户满意度,且数据稽核报表有时也会存在严重逻辑性错误;对于数据库大批量数据更新容易造成死锁,严重影响应用服务的性能;数据在外网创建副本,存在较高的数据泄露隐患。
[0009]2) VPN:企业创建和部署VPN线路并不容易。这种技术需要高水平地理解网络和安全问题,需要认真的规划和配置;不同厂商的VPN产品和解决方案总是不兼容的,因为许多厂商不愿意或者不能遵守VPN技术标准。因此,混合使用不同厂商的产品可能会出现技术问题;企业不能直接控制基于互联网的VPN的可靠性和性能;外网应用服务通过VPN方式访问内网数据,等同于部署了双网卡,存在很高的内网泄露的安全隐患。
[0010]3)反向代理:反向代理通信存在一定的安全隐患,而且需要昂贵的硬件架设成本,相对于小数据交换架设成本过高,数据存在被窃取的风险;对数据安全机制不够,缺乏对数据使用人的身份验证、数据加密机制、数据包访问的控制;没有分权限、分用户控制访问节点功能。随着日益提高的信息安全等级,普通的HTTP反向代理已经不能满足企业网络安全性的需求,其迫切的需要更加完善的安全机制来满足更高的安全需要。
【发明内容】
[0011]为了解决上述技术问题,本发明提供了一种数据交互方法及装置,用于包括内网服务器、外网客户端和内容服务器的内外网网络中,通过对数据交互请求进行授信认证,实现内外网数据的安全性交换。
[0012]为了实现上述目的,本发明提供了一种数据交互方法,用于包括内网服务器、外网客户端和内容服务器的内外网网络中,所述数据交互方法包括:从所述内网服务器接收第一用户通过所述内网服务器和外网客户端之间的数据链路发送给所述内网服务器的携带待识别授信码的数据交互请求后,依据所述待识别授信码及所述内网服务器和外网客户端之间的数据链路对所述第一用户进行授信审核;在授信审核通过后,依据所述数据交互请求与所述内容服务器进行交互,获取目标数据;将所述目标数据通过所述内网服务器和外网客户端之间的数据链路返回给所述第一用户。
[0013]优选的,所述数据交互方法还包括:从内网服务器接收待授信用户进行授信请求时通过所述内网服务器和所述外网客户端之间的通信链路发送给所述内网服务器的用户信息;审核所述用户信息,判断所述待授信用户是否为合法用户;在所述待授信用户为合法用户时,为所述待授信用户分配并记录用于在进行数据交互请求时对用户进行授信审核的授信码,通过所述内网服务器为所述用户分配与所述授信码相对应的所述内网服务器和外网客户端之间的数据链路;将所述授信码通过所述内网服务器和外网客户端之间的通信链路返回给所述待授信用户,使得待授信用户在进行数据交互请求时携带所述授信码。
[0014]优选的,所述目标数据为加密数据,所述为所述待授信用户分配并记录用于在进行数据交互请求时对用户进行授信审核的授信码,还包括:为所述待授信用户分配用于在接收到所述目标数据时对所述目标数据进行解密的解密密钥;所述将所述授信码通过所述内网服务器和外网客户端之间的通信链路返回给所述待授信用户,具体为:将所述授信码及所述解密密钥通过所述内网服务器和外网客户端之间的通信链路返回给所述待授信用户,使得待授信用户在进行数据交互请求时携带所述授信码,在接收到所述目标数据时对所述目标数据进行解密。
[0015]优选的,所述内网服务器和外网客户端之间的通信链路通过如下方式创建:控制所述内网服务器检测所述外网客户端的指定端口是否开启;当所述指定端口开启时,创建所述内网服务器与所述外网客户端之间的通信链路,使得所述内网服务器通过所述通信链路控制所述外网客户端开启与进行数据交互请求相关的服务。
[0016]优选的,所述将所述目标数据通过所述内网服务器和外网客户端之间的数据链路返回给所述第一用户包括:将所述目标数据生成符合特定的数据格式的目标数据;将所述符合特定数据格式的目标数据通过所述内网服务器和外网客户端之间的数据链路返回给所述第一用户。
[0017]本发明还提供了一种数据交互装置,用于包括内网服务器、外网客户端和内容服务器的内外网网络中,所述数据交互装置包括:审核认证模块,用于从所述内网服务器接收第一用户通过所述内网服务器和外网客户端之间的数据链路发送给所述内网服务器的携带待识别授信码的数据交互请求后,依据所述待识别授信码及所述内网服务器和外网客户端之间的数据链路对所述第一用户进行授信审核;数据交互模块,用于在授信审核通过后,依据所述数据交互请求与所述内容服务器进行交互,获取目标数据;第一发送模块,用于将所述目标数据通过所述内网服务器和外网客户端之间的数据链路返回给所述第一用户。
[0018]优选的,所述的数据交互装置,还包括:接收模块,用于从内网服务器接收待授信用户进行授信请求时通过所述内网服务器和所述外网客户端之间的通信链路发送给所述内网服务器的用户信息;身份验证模块,用于审核所述用户信息,判断所述待授信用户是否为合法用户;授信模块,用于在所述待授信用户为合法用户时,为所述待授信用户分配并记录用于在进行数据交互请求时对用户进行授信审核的授信码,通过所述内网服务器为所述用户分配与所述授信码相对应的所述内网服务器和外网客户端之间的数据链路;第二发送模块,用于将所述授信码通过所述内网服务器和外网客户端之间的通信链路返回给所述待授信用户,使得待授信用户在进行数据交互请求时携带所述授信码。
[0019]优选的,所述授信模块进一步用于为所述待授信用户分配用于在接收到所述目标数据时对所述目标数据进行解密的解密密钥;所述第二发送模块进一步用于将所述授信码及所述解密密钥通过所述内网服务器和外网客户端之间的通信链路返回给所述待授信用户,使得待授信用户在进行数据交互请求时携带所述授信码,在接收到所述目标数据时对所述目标数据进行解密。
[0020]优选的,所述的数据交互装置,还包括:控制模块,用于控制所述内网服务器检测所述外网客户端的指定端口是否开启;创建模块,用于当所述指定端口开启时,创建所述内网服务器与所述外网客户端之间的通信链路,使得所述内网服务器通过所述通信链路控制所述外网客户端开启与进行数据交互请求相关的服务。
[0021 ] 优选的,所述第一发送模块包括:生成单元,用于将所述目标数据生成符合特定的数据格式的目标数据;发送单元,用于将所述符合特定数据格式的目标数据通过所述内网服务器和外网客户端之间的数据链路返回给所述第一用户。
[0022]本发明还提供了一种数据交互系统,包括内网服务器、外网客户端、内容服务器及如上所述的数据交互装置。
[0023]本发明的上述技术方案的有益效果如下:
[0024]本发明提供了一种数据交互方法及装置,用于包括内网服务器、外网客户端和内容服务器的内外网网络中,通过对数据交互请求进行授信认证,更为简单、安全地实现了内外网数据的实时交换。
【附图说明】
[0025]图1为本发明实施例1提供的数据交互方法的流程图。
[0026]图2为本发明实施例1提供的数据交互装置结构示意图。
[0027]图3为本发明实施例1提供的数据交互系统的结构示意图。
[0028]图4为本发明实施例2提供的创建与外网客户端之间的通信链路并开启相关服务的流程图。
[0029]图5为本发明实施例2提供的授信的流程图。
[0030]图6为本发明提供的数据交互流程图。
[0031]图7为本发明实施例2提供的数据交互系统的结构示意图。
[0032]图8为外网客户端的结构示意图。 [0033]图9为内网服务系统的结构示意图。
[0034]图10为授信认证管控模块所述涉及到的数据交互过程示意图。
[0035]图11为数据投递交互控制模块所述涉及到的数据交互过程示意图。
【具体实施方式】
[0036]为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
[0037]本发明实施例针对现有技术中,在外网访问内网数据时,存在安全隐患,成本过高的问题,提供了一种数据交互方法及装置,用于包括内网服务器、外网客户端和内容服务器的内外网网络中,通过对数据交互请求进行授信认证,更为简单、安全地实现了内外网数据的实时交换。
[0038]图1为本发明实施例1提供的数据交互方法的流程图,所述数据交互方法用于包括内网服务器、外网客户端和内容服务器的内外网网络中,如图所示,所述数据交互方法包括:
[0039]步骤S100,从所述内网服务器接收第一用户通过所述内网服务器和外网客户端之间的数据链路发送给所述内网服务器的携带待识别授信码的数据交互请求后,依据所述待识别授信码及所述内网服务器和外网客户端之间的数据链路对所述第一用户进行授信审核;
[0040]步骤S102,在授信审核通过后,依据所述数据交互请求与所述内容服务器进行交互,获取目标数据;
[0041]步骤S104,将所述目标数据通过所述内网服务器和外网客户端之间的数据链路返回给所述第一用户。
[0042]在上述技术方案中,第一用户通过所述内网服务器和外网客户端之间的数据链路将携带有待识别授信码的数据交互请求发送给内网服务器,在内网服务器接收到携带待识别授信码的数据交互请求后,从所述内外服务器接收该数据交互请求,根据其中携带的待识别授信码及所述数据链路进行授信审核,在通过审核后,根据所述数据交互请求与内容服务器进行交互,获取目标数据,通过所述内网服务器和外网客户端之间的数据链路返回给所述第一用户,即在内网服务器接收到数据交互请求后,需要对该数据交互请求进行授信审核,只针对审核通过的数据交互请求获取目标数据,返回给第一用户,从而,实现了内外网数据安全传输。
[0043]优选的,所述数据交互方法还可以包括:从内网服务器接收待授信用户进行授信请求时通过所述内网服务器和所述外网客户端之间的通信链路发送给所述内网服务器的用户信息;审核所述用户信息,判断所述待授信用户是否为合法用户;在所述待授信用户为合法用户时,为所述待授信用户分配并记录用于在进行数据交互请求时对用户进行授信审核的授信码,通过所述内网服务器为所述用户分配与所述授信码相对应的所述内网服务器和所述外网客户端之间的数据链路;将所述授信码通过所述内网服务器和外网客户端之间的通信链路返回给所述待授信用户,使得待授信用户在进行数据交互请求时携带所述授?目码。
[0044]为了实现对提交数据交互请求进行授信审核,需要为用户分配授信码。在为用户分配授信码的过程中,首先根据从所述内网服务器中接收所述用户信息,对其进行审核,判断所述待授信用户是否为合法用户,当所述待授信用户为合法用户时,为待授信用户分配授信码,同时,记录该授信码,通过所述内网服务器为所述用户分配与所述授信码相对应的所述内网服务器和所述外网客户端之间的数据链路,即内网服务器在该待授信用户为合法用户时为该待授信用户分配授信码并,为该待授信用户分配一条该待授信用户私有的与所述授信码相对应的数据链路,该待授信用户在进行数据交互请求时,该携带了授信码的数据交互请求只能通过所述内网服务器为该待授信用户分配的与所述授信码相对应的数据链路来发送,如果发送数据交互请求的数据链路与数据交互请求携带的授信码没有相对应,则该数据交互请求不予以审核通过,将所述授信码通过所述内网服务器和外网客户端之间的通信链路返回给所述待授信用户,以便待授信用户在进行数据交互请求时携带所述授信码。
[0045]优选的,所述目标数据为加密数据,所述为所述待授信用户分配并记录用于在进行数据交互请求时对用户进行授信审核的授信码,还可以包括:为所述待授信用户分配用于在接收到所述目标数据时对所述目标数据进行解密的解密密钥;所述将所述授信码通过所述内网服务器和外网客户端之间的通信链路返回给所述待授信用户,具体为:将所述授信码及所述解密密钥通过所述内网服务器和外网客户端之间的通信链路返回给所述待授信用户,使得待授信用户在进行数据交互请求时携带所述授信码,在接收到所述目标数据时对所述目标数据进行解密。
[0046]在上述技术方案中,为了避免目标数据在传输过程中被截获,从而造成信息泄露,因此,需要对目标数据进行加密后再传输,同时,需要将解密密钥分配给用户,以便用户在接收到加密的目标数据后,可以进行解密。
[0047]优选的,所述内网服务器和外网客户端之间的通信链路可以通过如下方式创建:控制所述内网服务器检测所述外网客户端的指定端口是否开启;当所述指定端口开启时,创建所述内网服务器与所述外网客户端之间的通信链路,使得所述内网服务器通过所述通信链路控制所述外网客户端开启与进行数据交互请求相关的服务。
[0048]在上述技术方案中,内网服务器与外网客户端之间的通信链路由内网服务器创建,外网客户端被动接受内网服务器的通信链路创建请求,并可以根据内网服务器通过所述通信链路发送的相关配置信息,启动接收用户的数据交互请求的服务。
[0049]优选的,所述将所述目标数据通过所述内网服务器和外网客户端之间的数据链路返回给所述第一用户可以包括:将所述目标数据生成符合特定的数据格式的目标数据;将所述符合特定数据格式的目标数据通过所述内网服务器和外网客户端之间的数据链路返回给所述第一用户。
[0050]在上述技术方案中,对目标数据进行了封装等操作,使得目标数据具有特定的数据格式,该符合特定数据格式的目标数据通过内网服务器和外网客户端之间的数据链路返回给第一用户,由于目标数据具有特定的数据格式,因此,在传输数据时可以只针对该特定数据格式进行定义,使得链路传输变得简单。
[0051]图2为本发明实施例1提供的数据交互装置结构示意图,所述数据交互装置用于包括内网服务器、外网客户端和内容服务器的内外网网络中,如图所示,所述数据交互装置20包括:
[0052]审核认证模块21,用于从所述内网服务器接收第一用户通过所述内网服务器和外网客户端之间的数据链路发送给所述内网服务器的携带待识别授信码的数据交互请求后,依据待识别授信码及所述内网服务器和外网客户端之间的数据链路对所述第一用户进行授信审核;
[0053]数据交互模块22,用于在授信审核通过后,依据所述数据交互请求与所述内容服务器进行交互,获取目标数据;
[0054]第一发送模块23,用于将所述目标数据通过所述内网服务器和外网客户端之间的数据链路返回给所述第一用户。
[0055]在上述技术方案中,第一用户通过所述内网服务器和外网客户端之间的数据链路将携带有待识别授信码的数据交互请求发送给内网服务器,在内网服务器接收到携带的待识别授信码数据交互请求后,审核认证模块21从所述内外服务器接收该数据交互请求,根据其中携带的待识别授信码及所述内网服务器和外网客户端之间的数据链路进行授信审核,在通过审核后,数据交互模块22根据所述数据交互请求与内容服务器进行交互,获取目标数据,第一发送模块23通过所述内网服务器和外网客户端之间的数据链路返回给所述第一用户,即在内网服务器接收到数据交互请求后,需要对该数据交互请求进行授信审核,只针对审核通过的数据交互请求获取目标数据,返回给第一用户,从而,实现了内外网数据安全传输。
[0056]优选的,所述的数据交互装置还可以包括:接收模块,用于从内网服务器接收待授信用户进行授信请求时通过所述内网服务器和所述外网客户端之间的通信链路发送给所述内网服务器的用户信息;身份验证模块,用于审核所述用户信息,判断所述待授信用户是否为合法用户;授信模块,用于在所述待授信用户为合法用户时,为所述待授信用户分配并记录用于在进行数据交互请求时对用户进行授信审核的授信码,通过所述内网服务器为所述用户分配与所述授信码相对应的所述内网服务器和所述外网客户端之间的数据链路;第二发送模块,用于将所述授信码通过所述内网服务器和外网客户端之间的通信链路返回给所述待授信用户,使得待授信用户在进行数据交互请求时携带所述授信码。
[0057]优选的,所述授信模块可以进一步用于为所述待授信用户分配用于在接收到所述目标数据时对所述目标数据进行解密的解密密钥;所述第二发送模块进一步用于将所述授信码及所述解密密钥通过所述内网服务器和外网客户端之间的通信链路返回给所述待授信用户,使得待授信用户在进行数据交互请求时携带所述授信码,在接收到所述目标数据时对所述目标数据进行解密。
[00 58]优选的,所述的数据交互装置还可以包括:控制模块,用于控制所述内网服务器检测所述外网客户端的指定端口是否开启;创建模块,用于当所述指定端口开启时,创建所述内网服务器与所述外网客户端之间的通信链路,使得所述内网服务器通过所述通信链路控制所述外网客户端开启与进行数据交互请求相关的服务。
[0059]优选的,所述第一发送模块可以包括:生成单元,用于将所述目标数据生成符合特定的数据格式的目标数据;发送单元,用于将所述符合特定数据格式的目标数据通过所述内网服务器和外网客户端之间的数据链路返回给所述第一用户。
[0060]图3为本发明实施例1提供的数据交互系统的结构示意图,如图所示,所述数据交互系统30包括外网客户端31、内网服务器32、内容服务器33及数据交互装置34,其中,
[0061]外网客户端31:接收内网服务器的检测及连接创建请求,由内网服务器创建与外网客户端的通信链路,根据内网服务器发送的服务监听启动参数,启动服务监听,以监听用户的访问请求,接收用户的访问请求,将用户的访问请求封装成SOAP请求包,加密加压,传送给内网服务器,并在数据交互过程完成后,接收内网服务器发送的与用户的访问请求对应的响应数据包。
[0062]内网服务器32:用于创建与外网客户端之间的通信链路,通过该通信链路与外网客户端进行数据通信,并与数据交互装置进行通信,以完成授信认证过程及数据交互过程;
[0063]内容服务器33:用于存储数据信息;
[0064]数据交互装置34:用于对提交数据交互请求的用户进行授信验证,对通过授信验证的用户的数据交互请求,与内容服务器33进行数据交互,获取目标数据,并将目标数据返回给内网服务器32。
[0065]图4为本发明实施例2提供的创建与外网客户端之间的通信链路并开启相关服务的流程图,如图所示,所述流程包括:
[0066]步骤S400,内网服务器检测外网客户端的指定端口是否开启;
[0067]步骤S402,当指定端口开启时,内网服务器连接指定端口 ;
[0068]步骤S404,外网客户端通过指定端口向内网服务器发送客户端信息;
[0069]步骤S406,内网服务器根据客户端的信息,发起与外网客户端创建心跳链路的指令信息;
[0070]步骤S408,外网客户端与内网服务器通过三次握手指令确认心跳链路的创建;
[0071]步骤S410,内网服务器向外网客户端发送服务监听启动参数;
[0072]步骤S412,外网客户端启动服务监听,以监听用户的访问请求。
[0073]图5为本发明实施例2提供的授信的流程图,如图所示,所述流程包括:
[0074]步骤S500,用户将用户信息提交给外网客户端;
[0075]步骤S502,外网客户端将用户信息发送至内网服务器;
[0076]步骤S504,内网服务器将用户信息提交给授信认证模块请求认证;
[0077]步骤S506,授信认证模块对用户信息进行审核,其中,在此步骤中,所述授信认证模块实现了本发明实施例1中的身份验证模块的功能;
[0078]步骤S508,授信认证模块向通过审核的用户发送短信或认证key ;
[0079]步骤S510,用户确认本次授信认证过程;
[0080]步骤S512,授信认证模块创建授信码信息及加解密密钥信息,通过所述内网服务器为所述用户分配与所述授信码相对应的所述内网服务器和所述外网客户端之间的数据链路;其中,在此步骤中,所述授信认证模块实现了本发明实施例1中的授信模块的功能,授信码用于每次数据交互请求,解密密钥用于对内网服务器反馈的与所述数据交互请求相对应的数据信息进行解密,每个授信码对应唯一的解密密钥,数据链路用于传输携带了与其相对应的授信码的数据交互请求。
[0081]步骤S514,将授信码信息及解密密钥信息发送给外网客户端;其中,授信码信息中包括授信申请IP即所述外网客户端的IP,该授信码只能用于该外网客户端,在其他的外网客户端上该授信码是无效的。
[0082]步骤S516,将授信码及解密密钥返回给用户。
[0083]图6为本发明提供的数据交互流程图,如图所示,所述流程包括:
[0084]步骤S600,用户提交数据交互请求;其中,所述数据交互请求中包括授信码信息。
[0085]步骤S602,外网客户端接收到数据交互请求后,根据外网客户端中保存的授信码信息及数据交互请求中携带的授信码信息,进行授信认证;其中,外网客户端可以根据预设的数据格式,对通过授信认证的数据交互请求进行封装。
[0086]步骤S604,外网客户端将封装后的数据交互请求发送至内网服务器;
[0087]步骤S606,内网服务器将数据交互请求提交给授信认证模块请求认证,内网服务器接收到封装后的数据交互请求后,经过解压后,提交给授信认证模块;
[0088]步骤S608,授信认证模块根据授信码信息对数据交互请求进行授信认证;其中,在此步骤中,所述授信认证模块实现了本发明实施例1中的审核认证模块的功能。
[0089]步骤S610,将通过授信认证的数据交互请求提交给数据交互装置的数据投递交互控制|吴块;
[0090]步骤S612,数据投递交互控制模块根据数据交互请求安排投递,即将数据交互请求发送至对应的数据服务器上以获取与所述数据交互请求对应的数据信息;其中,在此步骤中,所述数据投递交互控制模块,用于实现本发明实施例1中的数据交互模块的功能,数据投递交互控制模块在投递的时候,监控数据交互请求是否异常,如果数据交互请求超过预设的时间或预设大小,将终止投递,并返回相应的信息。
[0091]步骤S614,数据投递交互控制模块将获取的与所述数据交互请求对应的数据信息提交给内网服务器;
[0092]步骤S616,内网服务器将数据信息加密后发送给外网客户端;
[0093]步骤S618,用户根据授信认证过程中获取的解密密钥对数据信息进行解密。
[0094]图7为本发明实施例2提供的数据交互系统的结构示意图,如图所示,所述数据交互系统70包括:外网客户端71、内网服务系统72及数据服务器73,其中,
[0095]外网客户端71:接收内网服务器的检测及连接创建请求,由内网服务器创建与外网客户端的通信链路,根据内网服务器发送的服务监听启动参数,启动服务监听,以监听用户的访问请求,接收用户的访问请求,将用户的访问请求封装成SOAP请求包,加密加压,传送给内网服务器,并在数据交互过程完成后,接收内网服务器发送的与用户的访问请求对应的响应数据包。
[0096]外网客户端71的结构如图8所示:
[0097]请求连接池管理模块711:监听服务端口,以接收用户的访问请求,同时,还可以管理用户的访问请求,判断是否为有效的用户请求;
[0098]外网请求数据包队列712:管理缓存中的用户的访问请求;
[0099]外网响应数据包队列713,管理缓存中的响应数据包,将响应数据包及时反馈给对应的用户;
[0100]外网数据传输装置714:在外网客户端与内网服务器之间进行数据传送。
[0101]内网服务系统72:用于创建与外网客户端之间的通信链路,对通过所述通信链路提交数据交互请求的用户进行授信验证,对通过授信验证的用户的数据交互请求,与数据服务器73进行数据交互,获取目标数据,并将目标数据通过通信链路返回给用户。
[0102]内网服务系统72的结构如图9所示,所述内网服务器72包括内网服务管理端721、内网请求数据包队列722、内网响应数据包队列723、授信认证管控模块724及数据投递交互控制模块725,其中,
[0103]内网服务管理端721:用于实现本发明实施例1中的数据交互装置的创建模块的功能,用于创建与外网客户端之间的通信链路,同时还用于交互日志管理。
[0104]内网请求数据包队列722:管理缓存中的由外网客户端发送的用户的访问请求;
[0105]内网响应数据包队列723,管理缓存中的响应数据包,将响应数据包及时反馈给对应的外网客户端;
[0106]授信认证管控模块724:用于实现本发明实施例1中的数据交互装置的接收模块、身份验证模块、授信模块及第二发送模块的功能。用于通过所述通信链路接收所述外网客户端的用户信息,审核所述用户是否具有访问权限,当所述外网客户端的用户通过审核后,为所述外网客户端创建授信码,对所述外网客户端发送的携带有所述授信码的数据交互请求进行授信验证,同时创建加解密密钥。对于每个数据交互请求,在进行数据交互的过程中,都涉及到授信及密钥控制,防止数据被截获或篡改。 [0107]授信认证管控模块所述涉及到的数据交互过程如图10所示包括:访问控制、数据提取、安全处理及生成目标数据,其中,
[0108]访问控制:该过程由本发明实施例1提供的数据交互装置的身份验证模块实现,在访问控制层验证用户的身份信息,进行访问权限认证,过滤非法用户及越界访问者;
[0109]数据提取:分析接收到的数据交互请求,解封装提取数据,得到授信码及解封装后的数据交互请求;
[0110]安全处理:对解封装后的数据交互请求进行处理,分析提交该数据交互请求的用户对该数据交互请求是否具有访问权限;
[0111]生成目标数据:该过程由本发明实施例1提供的数据交互装置的第一发送模块的生成单元实现,生成单元在生成目标数据时,将其根据特定的数据格式转换为符合该特定数据格式的目标数据,同时,对目标数据进行加密。
[0112]数据投递交互控制模块725:用于实现本发明实施例1中的第一发送模块及数据交互模块的功能,根据接收到的数据交互请求及加密密钥,生成加密的数据包,将所述加密的数据包发送给所述通过授信验证的外网客户端,以使得所述通过授信验证的外网客户端根据所述解密密钥对所述加密的数据包解密,获取与所述数据交互请求相应的数据信息。同时,还可以监控处理异常数据包,对异常请求的数据包进行拦截。
[0113]数据投递交互控制模块所述涉及到的数据交互过程如图11所示包括:数据封装、数据投递、监控数据交互及生成目标数据,其中,
[0114]数据封装:将外网客户端发送的数据交互请求封装成HTTP请求包体;
[0115]数据投递:根据数据交互请求的地址,将HTTP请求包体投递到相应的WEB服务器上;
[0116]监控数据交互:监控用户请求运行情况,若响应时间或数据量等超出异常,则可以采用相应的措施;
[0117]生成目标数据:该过程由本发明实施例1提供的数据交互装置的第一发送模块的生成单元实现,生成单元在生成目标数据时,将其根据特定的数据格式转换为符合该特定数据格式的目标数据,同时,对目标数据进行加密。
[0118]数据服务器73:用于存储数据的服务器。
[0119]以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
【主权项】
1.一种数据交互方法,其特征在于,用于包括内网服务器、外网客户端和内容服务器的内外网网络中,所述数据交互方法包括: 从所述内网服务器接收第一用户通过所述内网服务器和外网客户端之间的数据链路发送给所述内网服务器的携带待识别授信码的数据交互请求后,依据所述待识别授信码及所述内网服务器和外网客户端之间的数据链路对所述第一用户进行授信审核; 在授信审核通过后,依据所述数据交互请求与所述内容服务器进行交互,获取目标数据; 将所述目标数据通过所述内网服务器和外网客户端之间的数据链路返回给所述第一用户。2.如权利要求1所述的数据交互方法,其特征在于,还包括: 从内网服务器接收待授信用户进行授信请求时通过所述内网服务器和所述外网客户端之间的通信链路发送给所述内网服务器的用户信息; 审核所述用户信息,判断所述待授信用户是否为合法用户; 在所述待授信用户为合法用户时,为所述待授信用户分配并记录用于在进行数据交互请求时对用户进行授信审核的授信码,通过所述内网服务器为所述用户分配与所述授信码相对应的所述内网服务器和外网客户端之间的数据链路; 将所述授信码通过所述内网服务器和外网客户端之间的通信链路返回给所述待授信用户,使得待授信用户在进行数据交互请求时携带所述授信码。3.如权利要求2所述的数据交互方法,其特征在于,所述目标数据为加密数据,所述为所述待授信用户分配并记录用于在进行数据交互请求时对用户进行授信审核的授信码,还包括: 为所述待授信用户分配用于在接收到所述目标数据时对所述目标数据进行解密的解密密钥; 所述将所述授信码通过所述内网服务器和外网客户端之间的通信链路返回给所述待授信用户,具体为: 将所述授信码及所述解密密钥通过所述内网服务器和外网客户端之间的通信链路返回给所述待授信用户,使得待授信用户在进行数据交互请求时携带所述授信码,在接收到所述目标数据时对所述目标数据进行解密。4.如权利要求2所述的数据交互方法,其特征在于,所述内网服务器和外网客户端之间的通信链路通过如下方式创建: 控制所述内网服务器检测所述外网客户端的指定端口是否开启; 当所述指定端口开启时,创建所述内网服务器与所述外网客户端之间的通信链路,使得所述内网服务器通过所述通信链路控制所述外网客户端开启与进行数据交互请求相关的服务。5.如权利要求1所述的方法,其特征在于,所述将所述目标数据通过所述内网服务器和外网客户端之间的数据链路返回给所述第一用户包括: 将所述目标数据生成符合特定的数据格式的目标数据; 将所述符合特定数据格式的目标数据通过所述内网服务器和外网客户端之间的数据链路返回给所述第一用户。6.一种数据交互装置,其特征在于,用于包括内网服务器、外网客户端和内容服务器的内外网网络中,所述数据交互装置包括: 审核认证模块,用于从所述内网服务器接收第一用户通过所述内网服务器和外网客户端之间的数据链路发送给所述内网服务器的携带待识别授信码的数据交互请求后,依据所述待识别授信码及所述内网服务器和外网客户端之间的数据链路对所述第一用户进行授信审核; 数据交互模块,用于在授信审核通过后,依据所述数据交互请求与所述内容服务器进行交互,获取目标数据; 第一发送模块,用于将所述目标数据通过所述内网服务器和外网客户端之间的数据链路返回给所述第一用户。7.如权利要求6所述的数据交互装置,其特征在于,还包括: 接收模块,用于从内网服务器接收待授信用户进行授信请求时通过所述内网服务器和所述外网客户端之间的通信链路发送给所述内网服务器的用户信息; 身份验证模块,用于审核所述用户信息,判断所述待授信用户是否为合法用户; 授信模块,用于在所述待授信用户为合法用户时,为所述待授信用户分配并记录用于在进行数据交互请求时对用户进行授信审核的授信码,通过所述内网服务器为所述用户分配与所述授信码相对应的所述内网服务器和外网客户端之间的数据链路; 第二发送模块,用于将所述授信码通过所述内网服务器和外网客户端之间的通信链路返回给所述待授信用户,使得待授信用户在进行数据交互请求时携带所述授信码。8.如权利要求7所述的数据交互装置,其特征在于,所述授信模块进一步用于为所述待授信用户分配用于在接收到所述目标数据时对所述目标数据进行解密的解密密钥; 所述第二发送模块进一步用于将所述授信码及所述解密密钥通过所述内网服务器和外网客户端之间的通信链路返回给所述待授信用户,使得待授信用户在进行数据交互请求时携带所述授信码,在接收到所述目标数据时对所述目标数据进行解密。9.如权利要求7所述的数据交互装置,其特征在于,还包括: 控制模块,用于控制所述内网服务器检测所述外网客户端的指定端口是否开启; 创建模块,用于当所述指定端口开启时,创建所述内网服务器与所述外网客户端之间的通信链路,使得所述内网服务器通过所述通信链路控制所述外网客户端开启与进行数据交互请求相关的服务。10.如权利要求6所述的数据交互装置,其特征在于,所述第一发送模块包括: 生成单元,用于将所述目标数据生成符合特定的数据格式的目标数据; 发送单元,用于将所述符合特定数据格式的目标数据通过所述内网服务器和外网客户端之间的数据链路返回给所述第一用户。11.一种数据交互系统,其特征在于,包括内网服务器、外网客户端、内容服务器及如权利要求6-10任一项所述的数据交互装置。
【专利摘要】本发明提供了一种数据交互方法、装置及系统,用于包括内网服务器、外网客户端和内容服务器的内外网网络中,所述数据交互方法包括:从所述内网服务器接收第一用户通过所述内网服务器和外网客户端之间的数据链路发送给所述内网服务器的携带待识别授信码的数据交互请求后,依据所述待识别授信码及所述内网服务器和外网客户端之间的数据链路对所述第一用户进行授信审核;在授信审核通过后,依据所述数据交互请求与所述内容服务器进行交互,获取目标数据;将所述目标数据通过所述内网服务器和外网客户端之间的数据链路返回给所述第一用户。采用本发明的技术方案,通过对数据交互请求进行授信审核,实现内外网数据的安全性交换。
【IPC分类】H04L29/06, H04L9/08
【公开号】CN104901928
【申请号】CN201410082969
【发明人】肖燕锋, 俞霞
【申请人】中国移动通信集团浙江有限公司
【公开日】2015年9月9日
【申请日】2014年3月7日
【技术领域】
[0001]本发明涉及通信领域,尤其涉及一种数据交互方法、装置及系统。
【背景技术】
[0002]目前的国内外大中型企业为了企业数据的信息安全,所部署的内外网网络都是物理隔离,内网可以通过代理服务器访问外网,但外网无法访问内网,因此,部署在外网上的业务系统,在与内网系统做数据交换时变得非常困难。
[0003]在现有技术中,通过下述几种方式来实现外网访问内网:
[0004]I)数据定时同步更新:根据外网业务查询的需要将部分数据定时导入外网数据库,外网录入的信息定时导入至内外数据库。
[0005]2) VPN:在内网中架设一台VPN服务器,VPN服务器有两块网卡,一块连接内网,一块连接公网,利用VPN服务器作为跳板进入企业内网,实现访问内网数据。利用VPN公网主机等同接入公司内网,可以非常方便地访问内网资源。
[0006]3)反向代理:建立内外网双向访问专向通道,实现访问内网数据。
[0007]上述几种方式存在如下缺陷:
[0008]I)数据定时同步更新:由于数据存在时间差,导致通过外网办理的业务成功与否存在不确定性,影响用户满意度,且数据稽核报表有时也会存在严重逻辑性错误;对于数据库大批量数据更新容易造成死锁,严重影响应用服务的性能;数据在外网创建副本,存在较高的数据泄露隐患。
[0009]2) VPN:企业创建和部署VPN线路并不容易。这种技术需要高水平地理解网络和安全问题,需要认真的规划和配置;不同厂商的VPN产品和解决方案总是不兼容的,因为许多厂商不愿意或者不能遵守VPN技术标准。因此,混合使用不同厂商的产品可能会出现技术问题;企业不能直接控制基于互联网的VPN的可靠性和性能;外网应用服务通过VPN方式访问内网数据,等同于部署了双网卡,存在很高的内网泄露的安全隐患。
[0010]3)反向代理:反向代理通信存在一定的安全隐患,而且需要昂贵的硬件架设成本,相对于小数据交换架设成本过高,数据存在被窃取的风险;对数据安全机制不够,缺乏对数据使用人的身份验证、数据加密机制、数据包访问的控制;没有分权限、分用户控制访问节点功能。随着日益提高的信息安全等级,普通的HTTP反向代理已经不能满足企业网络安全性的需求,其迫切的需要更加完善的安全机制来满足更高的安全需要。
【发明内容】
[0011]为了解决上述技术问题,本发明提供了一种数据交互方法及装置,用于包括内网服务器、外网客户端和内容服务器的内外网网络中,通过对数据交互请求进行授信认证,实现内外网数据的安全性交换。
[0012]为了实现上述目的,本发明提供了一种数据交互方法,用于包括内网服务器、外网客户端和内容服务器的内外网网络中,所述数据交互方法包括:从所述内网服务器接收第一用户通过所述内网服务器和外网客户端之间的数据链路发送给所述内网服务器的携带待识别授信码的数据交互请求后,依据所述待识别授信码及所述内网服务器和外网客户端之间的数据链路对所述第一用户进行授信审核;在授信审核通过后,依据所述数据交互请求与所述内容服务器进行交互,获取目标数据;将所述目标数据通过所述内网服务器和外网客户端之间的数据链路返回给所述第一用户。
[0013]优选的,所述数据交互方法还包括:从内网服务器接收待授信用户进行授信请求时通过所述内网服务器和所述外网客户端之间的通信链路发送给所述内网服务器的用户信息;审核所述用户信息,判断所述待授信用户是否为合法用户;在所述待授信用户为合法用户时,为所述待授信用户分配并记录用于在进行数据交互请求时对用户进行授信审核的授信码,通过所述内网服务器为所述用户分配与所述授信码相对应的所述内网服务器和外网客户端之间的数据链路;将所述授信码通过所述内网服务器和外网客户端之间的通信链路返回给所述待授信用户,使得待授信用户在进行数据交互请求时携带所述授信码。
[0014]优选的,所述目标数据为加密数据,所述为所述待授信用户分配并记录用于在进行数据交互请求时对用户进行授信审核的授信码,还包括:为所述待授信用户分配用于在接收到所述目标数据时对所述目标数据进行解密的解密密钥;所述将所述授信码通过所述内网服务器和外网客户端之间的通信链路返回给所述待授信用户,具体为:将所述授信码及所述解密密钥通过所述内网服务器和外网客户端之间的通信链路返回给所述待授信用户,使得待授信用户在进行数据交互请求时携带所述授信码,在接收到所述目标数据时对所述目标数据进行解密。
[0015]优选的,所述内网服务器和外网客户端之间的通信链路通过如下方式创建:控制所述内网服务器检测所述外网客户端的指定端口是否开启;当所述指定端口开启时,创建所述内网服务器与所述外网客户端之间的通信链路,使得所述内网服务器通过所述通信链路控制所述外网客户端开启与进行数据交互请求相关的服务。
[0016]优选的,所述将所述目标数据通过所述内网服务器和外网客户端之间的数据链路返回给所述第一用户包括:将所述目标数据生成符合特定的数据格式的目标数据;将所述符合特定数据格式的目标数据通过所述内网服务器和外网客户端之间的数据链路返回给所述第一用户。
[0017]本发明还提供了一种数据交互装置,用于包括内网服务器、外网客户端和内容服务器的内外网网络中,所述数据交互装置包括:审核认证模块,用于从所述内网服务器接收第一用户通过所述内网服务器和外网客户端之间的数据链路发送给所述内网服务器的携带待识别授信码的数据交互请求后,依据所述待识别授信码及所述内网服务器和外网客户端之间的数据链路对所述第一用户进行授信审核;数据交互模块,用于在授信审核通过后,依据所述数据交互请求与所述内容服务器进行交互,获取目标数据;第一发送模块,用于将所述目标数据通过所述内网服务器和外网客户端之间的数据链路返回给所述第一用户。
[0018]优选的,所述的数据交互装置,还包括:接收模块,用于从内网服务器接收待授信用户进行授信请求时通过所述内网服务器和所述外网客户端之间的通信链路发送给所述内网服务器的用户信息;身份验证模块,用于审核所述用户信息,判断所述待授信用户是否为合法用户;授信模块,用于在所述待授信用户为合法用户时,为所述待授信用户分配并记录用于在进行数据交互请求时对用户进行授信审核的授信码,通过所述内网服务器为所述用户分配与所述授信码相对应的所述内网服务器和外网客户端之间的数据链路;第二发送模块,用于将所述授信码通过所述内网服务器和外网客户端之间的通信链路返回给所述待授信用户,使得待授信用户在进行数据交互请求时携带所述授信码。
[0019]优选的,所述授信模块进一步用于为所述待授信用户分配用于在接收到所述目标数据时对所述目标数据进行解密的解密密钥;所述第二发送模块进一步用于将所述授信码及所述解密密钥通过所述内网服务器和外网客户端之间的通信链路返回给所述待授信用户,使得待授信用户在进行数据交互请求时携带所述授信码,在接收到所述目标数据时对所述目标数据进行解密。
[0020]优选的,所述的数据交互装置,还包括:控制模块,用于控制所述内网服务器检测所述外网客户端的指定端口是否开启;创建模块,用于当所述指定端口开启时,创建所述内网服务器与所述外网客户端之间的通信链路,使得所述内网服务器通过所述通信链路控制所述外网客户端开启与进行数据交互请求相关的服务。
[0021 ] 优选的,所述第一发送模块包括:生成单元,用于将所述目标数据生成符合特定的数据格式的目标数据;发送单元,用于将所述符合特定数据格式的目标数据通过所述内网服务器和外网客户端之间的数据链路返回给所述第一用户。
[0022]本发明还提供了一种数据交互系统,包括内网服务器、外网客户端、内容服务器及如上所述的数据交互装置。
[0023]本发明的上述技术方案的有益效果如下:
[0024]本发明提供了一种数据交互方法及装置,用于包括内网服务器、外网客户端和内容服务器的内外网网络中,通过对数据交互请求进行授信认证,更为简单、安全地实现了内外网数据的实时交换。
【附图说明】
[0025]图1为本发明实施例1提供的数据交互方法的流程图。
[0026]图2为本发明实施例1提供的数据交互装置结构示意图。
[0027]图3为本发明实施例1提供的数据交互系统的结构示意图。
[0028]图4为本发明实施例2提供的创建与外网客户端之间的通信链路并开启相关服务的流程图。
[0029]图5为本发明实施例2提供的授信的流程图。
[0030]图6为本发明提供的数据交互流程图。
[0031]图7为本发明实施例2提供的数据交互系统的结构示意图。
[0032]图8为外网客户端的结构示意图。 [0033]图9为内网服务系统的结构示意图。
[0034]图10为授信认证管控模块所述涉及到的数据交互过程示意图。
[0035]图11为数据投递交互控制模块所述涉及到的数据交互过程示意图。
【具体实施方式】
[0036]为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
[0037]本发明实施例针对现有技术中,在外网访问内网数据时,存在安全隐患,成本过高的问题,提供了一种数据交互方法及装置,用于包括内网服务器、外网客户端和内容服务器的内外网网络中,通过对数据交互请求进行授信认证,更为简单、安全地实现了内外网数据的实时交换。
[0038]图1为本发明实施例1提供的数据交互方法的流程图,所述数据交互方法用于包括内网服务器、外网客户端和内容服务器的内外网网络中,如图所示,所述数据交互方法包括:
[0039]步骤S100,从所述内网服务器接收第一用户通过所述内网服务器和外网客户端之间的数据链路发送给所述内网服务器的携带待识别授信码的数据交互请求后,依据所述待识别授信码及所述内网服务器和外网客户端之间的数据链路对所述第一用户进行授信审核;
[0040]步骤S102,在授信审核通过后,依据所述数据交互请求与所述内容服务器进行交互,获取目标数据;
[0041]步骤S104,将所述目标数据通过所述内网服务器和外网客户端之间的数据链路返回给所述第一用户。
[0042]在上述技术方案中,第一用户通过所述内网服务器和外网客户端之间的数据链路将携带有待识别授信码的数据交互请求发送给内网服务器,在内网服务器接收到携带待识别授信码的数据交互请求后,从所述内外服务器接收该数据交互请求,根据其中携带的待识别授信码及所述数据链路进行授信审核,在通过审核后,根据所述数据交互请求与内容服务器进行交互,获取目标数据,通过所述内网服务器和外网客户端之间的数据链路返回给所述第一用户,即在内网服务器接收到数据交互请求后,需要对该数据交互请求进行授信审核,只针对审核通过的数据交互请求获取目标数据,返回给第一用户,从而,实现了内外网数据安全传输。
[0043]优选的,所述数据交互方法还可以包括:从内网服务器接收待授信用户进行授信请求时通过所述内网服务器和所述外网客户端之间的通信链路发送给所述内网服务器的用户信息;审核所述用户信息,判断所述待授信用户是否为合法用户;在所述待授信用户为合法用户时,为所述待授信用户分配并记录用于在进行数据交互请求时对用户进行授信审核的授信码,通过所述内网服务器为所述用户分配与所述授信码相对应的所述内网服务器和所述外网客户端之间的数据链路;将所述授信码通过所述内网服务器和外网客户端之间的通信链路返回给所述待授信用户,使得待授信用户在进行数据交互请求时携带所述授?目码。
[0044]为了实现对提交数据交互请求进行授信审核,需要为用户分配授信码。在为用户分配授信码的过程中,首先根据从所述内网服务器中接收所述用户信息,对其进行审核,判断所述待授信用户是否为合法用户,当所述待授信用户为合法用户时,为待授信用户分配授信码,同时,记录该授信码,通过所述内网服务器为所述用户分配与所述授信码相对应的所述内网服务器和所述外网客户端之间的数据链路,即内网服务器在该待授信用户为合法用户时为该待授信用户分配授信码并,为该待授信用户分配一条该待授信用户私有的与所述授信码相对应的数据链路,该待授信用户在进行数据交互请求时,该携带了授信码的数据交互请求只能通过所述内网服务器为该待授信用户分配的与所述授信码相对应的数据链路来发送,如果发送数据交互请求的数据链路与数据交互请求携带的授信码没有相对应,则该数据交互请求不予以审核通过,将所述授信码通过所述内网服务器和外网客户端之间的通信链路返回给所述待授信用户,以便待授信用户在进行数据交互请求时携带所述授信码。
[0045]优选的,所述目标数据为加密数据,所述为所述待授信用户分配并记录用于在进行数据交互请求时对用户进行授信审核的授信码,还可以包括:为所述待授信用户分配用于在接收到所述目标数据时对所述目标数据进行解密的解密密钥;所述将所述授信码通过所述内网服务器和外网客户端之间的通信链路返回给所述待授信用户,具体为:将所述授信码及所述解密密钥通过所述内网服务器和外网客户端之间的通信链路返回给所述待授信用户,使得待授信用户在进行数据交互请求时携带所述授信码,在接收到所述目标数据时对所述目标数据进行解密。
[0046]在上述技术方案中,为了避免目标数据在传输过程中被截获,从而造成信息泄露,因此,需要对目标数据进行加密后再传输,同时,需要将解密密钥分配给用户,以便用户在接收到加密的目标数据后,可以进行解密。
[0047]优选的,所述内网服务器和外网客户端之间的通信链路可以通过如下方式创建:控制所述内网服务器检测所述外网客户端的指定端口是否开启;当所述指定端口开启时,创建所述内网服务器与所述外网客户端之间的通信链路,使得所述内网服务器通过所述通信链路控制所述外网客户端开启与进行数据交互请求相关的服务。
[0048]在上述技术方案中,内网服务器与外网客户端之间的通信链路由内网服务器创建,外网客户端被动接受内网服务器的通信链路创建请求,并可以根据内网服务器通过所述通信链路发送的相关配置信息,启动接收用户的数据交互请求的服务。
[0049]优选的,所述将所述目标数据通过所述内网服务器和外网客户端之间的数据链路返回给所述第一用户可以包括:将所述目标数据生成符合特定的数据格式的目标数据;将所述符合特定数据格式的目标数据通过所述内网服务器和外网客户端之间的数据链路返回给所述第一用户。
[0050]在上述技术方案中,对目标数据进行了封装等操作,使得目标数据具有特定的数据格式,该符合特定数据格式的目标数据通过内网服务器和外网客户端之间的数据链路返回给第一用户,由于目标数据具有特定的数据格式,因此,在传输数据时可以只针对该特定数据格式进行定义,使得链路传输变得简单。
[0051]图2为本发明实施例1提供的数据交互装置结构示意图,所述数据交互装置用于包括内网服务器、外网客户端和内容服务器的内外网网络中,如图所示,所述数据交互装置20包括:
[0052]审核认证模块21,用于从所述内网服务器接收第一用户通过所述内网服务器和外网客户端之间的数据链路发送给所述内网服务器的携带待识别授信码的数据交互请求后,依据待识别授信码及所述内网服务器和外网客户端之间的数据链路对所述第一用户进行授信审核;
[0053]数据交互模块22,用于在授信审核通过后,依据所述数据交互请求与所述内容服务器进行交互,获取目标数据;
[0054]第一发送模块23,用于将所述目标数据通过所述内网服务器和外网客户端之间的数据链路返回给所述第一用户。
[0055]在上述技术方案中,第一用户通过所述内网服务器和外网客户端之间的数据链路将携带有待识别授信码的数据交互请求发送给内网服务器,在内网服务器接收到携带的待识别授信码数据交互请求后,审核认证模块21从所述内外服务器接收该数据交互请求,根据其中携带的待识别授信码及所述内网服务器和外网客户端之间的数据链路进行授信审核,在通过审核后,数据交互模块22根据所述数据交互请求与内容服务器进行交互,获取目标数据,第一发送模块23通过所述内网服务器和外网客户端之间的数据链路返回给所述第一用户,即在内网服务器接收到数据交互请求后,需要对该数据交互请求进行授信审核,只针对审核通过的数据交互请求获取目标数据,返回给第一用户,从而,实现了内外网数据安全传输。
[0056]优选的,所述的数据交互装置还可以包括:接收模块,用于从内网服务器接收待授信用户进行授信请求时通过所述内网服务器和所述外网客户端之间的通信链路发送给所述内网服务器的用户信息;身份验证模块,用于审核所述用户信息,判断所述待授信用户是否为合法用户;授信模块,用于在所述待授信用户为合法用户时,为所述待授信用户分配并记录用于在进行数据交互请求时对用户进行授信审核的授信码,通过所述内网服务器为所述用户分配与所述授信码相对应的所述内网服务器和所述外网客户端之间的数据链路;第二发送模块,用于将所述授信码通过所述内网服务器和外网客户端之间的通信链路返回给所述待授信用户,使得待授信用户在进行数据交互请求时携带所述授信码。
[0057]优选的,所述授信模块可以进一步用于为所述待授信用户分配用于在接收到所述目标数据时对所述目标数据进行解密的解密密钥;所述第二发送模块进一步用于将所述授信码及所述解密密钥通过所述内网服务器和外网客户端之间的通信链路返回给所述待授信用户,使得待授信用户在进行数据交互请求时携带所述授信码,在接收到所述目标数据时对所述目标数据进行解密。
[00 58]优选的,所述的数据交互装置还可以包括:控制模块,用于控制所述内网服务器检测所述外网客户端的指定端口是否开启;创建模块,用于当所述指定端口开启时,创建所述内网服务器与所述外网客户端之间的通信链路,使得所述内网服务器通过所述通信链路控制所述外网客户端开启与进行数据交互请求相关的服务。
[0059]优选的,所述第一发送模块可以包括:生成单元,用于将所述目标数据生成符合特定的数据格式的目标数据;发送单元,用于将所述符合特定数据格式的目标数据通过所述内网服务器和外网客户端之间的数据链路返回给所述第一用户。
[0060]图3为本发明实施例1提供的数据交互系统的结构示意图,如图所示,所述数据交互系统30包括外网客户端31、内网服务器32、内容服务器33及数据交互装置34,其中,
[0061]外网客户端31:接收内网服务器的检测及连接创建请求,由内网服务器创建与外网客户端的通信链路,根据内网服务器发送的服务监听启动参数,启动服务监听,以监听用户的访问请求,接收用户的访问请求,将用户的访问请求封装成SOAP请求包,加密加压,传送给内网服务器,并在数据交互过程完成后,接收内网服务器发送的与用户的访问请求对应的响应数据包。
[0062]内网服务器32:用于创建与外网客户端之间的通信链路,通过该通信链路与外网客户端进行数据通信,并与数据交互装置进行通信,以完成授信认证过程及数据交互过程;
[0063]内容服务器33:用于存储数据信息;
[0064]数据交互装置34:用于对提交数据交互请求的用户进行授信验证,对通过授信验证的用户的数据交互请求,与内容服务器33进行数据交互,获取目标数据,并将目标数据返回给内网服务器32。
[0065]图4为本发明实施例2提供的创建与外网客户端之间的通信链路并开启相关服务的流程图,如图所示,所述流程包括:
[0066]步骤S400,内网服务器检测外网客户端的指定端口是否开启;
[0067]步骤S402,当指定端口开启时,内网服务器连接指定端口 ;
[0068]步骤S404,外网客户端通过指定端口向内网服务器发送客户端信息;
[0069]步骤S406,内网服务器根据客户端的信息,发起与外网客户端创建心跳链路的指令信息;
[0070]步骤S408,外网客户端与内网服务器通过三次握手指令确认心跳链路的创建;
[0071]步骤S410,内网服务器向外网客户端发送服务监听启动参数;
[0072]步骤S412,外网客户端启动服务监听,以监听用户的访问请求。
[0073]图5为本发明实施例2提供的授信的流程图,如图所示,所述流程包括:
[0074]步骤S500,用户将用户信息提交给外网客户端;
[0075]步骤S502,外网客户端将用户信息发送至内网服务器;
[0076]步骤S504,内网服务器将用户信息提交给授信认证模块请求认证;
[0077]步骤S506,授信认证模块对用户信息进行审核,其中,在此步骤中,所述授信认证模块实现了本发明实施例1中的身份验证模块的功能;
[0078]步骤S508,授信认证模块向通过审核的用户发送短信或认证key ;
[0079]步骤S510,用户确认本次授信认证过程;
[0080]步骤S512,授信认证模块创建授信码信息及加解密密钥信息,通过所述内网服务器为所述用户分配与所述授信码相对应的所述内网服务器和所述外网客户端之间的数据链路;其中,在此步骤中,所述授信认证模块实现了本发明实施例1中的授信模块的功能,授信码用于每次数据交互请求,解密密钥用于对内网服务器反馈的与所述数据交互请求相对应的数据信息进行解密,每个授信码对应唯一的解密密钥,数据链路用于传输携带了与其相对应的授信码的数据交互请求。
[0081]步骤S514,将授信码信息及解密密钥信息发送给外网客户端;其中,授信码信息中包括授信申请IP即所述外网客户端的IP,该授信码只能用于该外网客户端,在其他的外网客户端上该授信码是无效的。
[0082]步骤S516,将授信码及解密密钥返回给用户。
[0083]图6为本发明提供的数据交互流程图,如图所示,所述流程包括:
[0084]步骤S600,用户提交数据交互请求;其中,所述数据交互请求中包括授信码信息。
[0085]步骤S602,外网客户端接收到数据交互请求后,根据外网客户端中保存的授信码信息及数据交互请求中携带的授信码信息,进行授信认证;其中,外网客户端可以根据预设的数据格式,对通过授信认证的数据交互请求进行封装。
[0086]步骤S604,外网客户端将封装后的数据交互请求发送至内网服务器;
[0087]步骤S606,内网服务器将数据交互请求提交给授信认证模块请求认证,内网服务器接收到封装后的数据交互请求后,经过解压后,提交给授信认证模块;
[0088]步骤S608,授信认证模块根据授信码信息对数据交互请求进行授信认证;其中,在此步骤中,所述授信认证模块实现了本发明实施例1中的审核认证模块的功能。
[0089]步骤S610,将通过授信认证的数据交互请求提交给数据交互装置的数据投递交互控制|吴块;
[0090]步骤S612,数据投递交互控制模块根据数据交互请求安排投递,即将数据交互请求发送至对应的数据服务器上以获取与所述数据交互请求对应的数据信息;其中,在此步骤中,所述数据投递交互控制模块,用于实现本发明实施例1中的数据交互模块的功能,数据投递交互控制模块在投递的时候,监控数据交互请求是否异常,如果数据交互请求超过预设的时间或预设大小,将终止投递,并返回相应的信息。
[0091]步骤S614,数据投递交互控制模块将获取的与所述数据交互请求对应的数据信息提交给内网服务器;
[0092]步骤S616,内网服务器将数据信息加密后发送给外网客户端;
[0093]步骤S618,用户根据授信认证过程中获取的解密密钥对数据信息进行解密。
[0094]图7为本发明实施例2提供的数据交互系统的结构示意图,如图所示,所述数据交互系统70包括:外网客户端71、内网服务系统72及数据服务器73,其中,
[0095]外网客户端71:接收内网服务器的检测及连接创建请求,由内网服务器创建与外网客户端的通信链路,根据内网服务器发送的服务监听启动参数,启动服务监听,以监听用户的访问请求,接收用户的访问请求,将用户的访问请求封装成SOAP请求包,加密加压,传送给内网服务器,并在数据交互过程完成后,接收内网服务器发送的与用户的访问请求对应的响应数据包。
[0096]外网客户端71的结构如图8所示:
[0097]请求连接池管理模块711:监听服务端口,以接收用户的访问请求,同时,还可以管理用户的访问请求,判断是否为有效的用户请求;
[0098]外网请求数据包队列712:管理缓存中的用户的访问请求;
[0099]外网响应数据包队列713,管理缓存中的响应数据包,将响应数据包及时反馈给对应的用户;
[0100]外网数据传输装置714:在外网客户端与内网服务器之间进行数据传送。
[0101]内网服务系统72:用于创建与外网客户端之间的通信链路,对通过所述通信链路提交数据交互请求的用户进行授信验证,对通过授信验证的用户的数据交互请求,与数据服务器73进行数据交互,获取目标数据,并将目标数据通过通信链路返回给用户。
[0102]内网服务系统72的结构如图9所示,所述内网服务器72包括内网服务管理端721、内网请求数据包队列722、内网响应数据包队列723、授信认证管控模块724及数据投递交互控制模块725,其中,
[0103]内网服务管理端721:用于实现本发明实施例1中的数据交互装置的创建模块的功能,用于创建与外网客户端之间的通信链路,同时还用于交互日志管理。
[0104]内网请求数据包队列722:管理缓存中的由外网客户端发送的用户的访问请求;
[0105]内网响应数据包队列723,管理缓存中的响应数据包,将响应数据包及时反馈给对应的外网客户端;
[0106]授信认证管控模块724:用于实现本发明实施例1中的数据交互装置的接收模块、身份验证模块、授信模块及第二发送模块的功能。用于通过所述通信链路接收所述外网客户端的用户信息,审核所述用户是否具有访问权限,当所述外网客户端的用户通过审核后,为所述外网客户端创建授信码,对所述外网客户端发送的携带有所述授信码的数据交互请求进行授信验证,同时创建加解密密钥。对于每个数据交互请求,在进行数据交互的过程中,都涉及到授信及密钥控制,防止数据被截获或篡改。 [0107]授信认证管控模块所述涉及到的数据交互过程如图10所示包括:访问控制、数据提取、安全处理及生成目标数据,其中,
[0108]访问控制:该过程由本发明实施例1提供的数据交互装置的身份验证模块实现,在访问控制层验证用户的身份信息,进行访问权限认证,过滤非法用户及越界访问者;
[0109]数据提取:分析接收到的数据交互请求,解封装提取数据,得到授信码及解封装后的数据交互请求;
[0110]安全处理:对解封装后的数据交互请求进行处理,分析提交该数据交互请求的用户对该数据交互请求是否具有访问权限;
[0111]生成目标数据:该过程由本发明实施例1提供的数据交互装置的第一发送模块的生成单元实现,生成单元在生成目标数据时,将其根据特定的数据格式转换为符合该特定数据格式的目标数据,同时,对目标数据进行加密。
[0112]数据投递交互控制模块725:用于实现本发明实施例1中的第一发送模块及数据交互模块的功能,根据接收到的数据交互请求及加密密钥,生成加密的数据包,将所述加密的数据包发送给所述通过授信验证的外网客户端,以使得所述通过授信验证的外网客户端根据所述解密密钥对所述加密的数据包解密,获取与所述数据交互请求相应的数据信息。同时,还可以监控处理异常数据包,对异常请求的数据包进行拦截。
[0113]数据投递交互控制模块所述涉及到的数据交互过程如图11所示包括:数据封装、数据投递、监控数据交互及生成目标数据,其中,
[0114]数据封装:将外网客户端发送的数据交互请求封装成HTTP请求包体;
[0115]数据投递:根据数据交互请求的地址,将HTTP请求包体投递到相应的WEB服务器上;
[0116]监控数据交互:监控用户请求运行情况,若响应时间或数据量等超出异常,则可以采用相应的措施;
[0117]生成目标数据:该过程由本发明实施例1提供的数据交互装置的第一发送模块的生成单元实现,生成单元在生成目标数据时,将其根据特定的数据格式转换为符合该特定数据格式的目标数据,同时,对目标数据进行加密。
[0118]数据服务器73:用于存储数据的服务器。
[0119]以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
【主权项】
1.一种数据交互方法,其特征在于,用于包括内网服务器、外网客户端和内容服务器的内外网网络中,所述数据交互方法包括: 从所述内网服务器接收第一用户通过所述内网服务器和外网客户端之间的数据链路发送给所述内网服务器的携带待识别授信码的数据交互请求后,依据所述待识别授信码及所述内网服务器和外网客户端之间的数据链路对所述第一用户进行授信审核; 在授信审核通过后,依据所述数据交互请求与所述内容服务器进行交互,获取目标数据; 将所述目标数据通过所述内网服务器和外网客户端之间的数据链路返回给所述第一用户。2.如权利要求1所述的数据交互方法,其特征在于,还包括: 从内网服务器接收待授信用户进行授信请求时通过所述内网服务器和所述外网客户端之间的通信链路发送给所述内网服务器的用户信息; 审核所述用户信息,判断所述待授信用户是否为合法用户; 在所述待授信用户为合法用户时,为所述待授信用户分配并记录用于在进行数据交互请求时对用户进行授信审核的授信码,通过所述内网服务器为所述用户分配与所述授信码相对应的所述内网服务器和外网客户端之间的数据链路; 将所述授信码通过所述内网服务器和外网客户端之间的通信链路返回给所述待授信用户,使得待授信用户在进行数据交互请求时携带所述授信码。3.如权利要求2所述的数据交互方法,其特征在于,所述目标数据为加密数据,所述为所述待授信用户分配并记录用于在进行数据交互请求时对用户进行授信审核的授信码,还包括: 为所述待授信用户分配用于在接收到所述目标数据时对所述目标数据进行解密的解密密钥; 所述将所述授信码通过所述内网服务器和外网客户端之间的通信链路返回给所述待授信用户,具体为: 将所述授信码及所述解密密钥通过所述内网服务器和外网客户端之间的通信链路返回给所述待授信用户,使得待授信用户在进行数据交互请求时携带所述授信码,在接收到所述目标数据时对所述目标数据进行解密。4.如权利要求2所述的数据交互方法,其特征在于,所述内网服务器和外网客户端之间的通信链路通过如下方式创建: 控制所述内网服务器检测所述外网客户端的指定端口是否开启; 当所述指定端口开启时,创建所述内网服务器与所述外网客户端之间的通信链路,使得所述内网服务器通过所述通信链路控制所述外网客户端开启与进行数据交互请求相关的服务。5.如权利要求1所述的方法,其特征在于,所述将所述目标数据通过所述内网服务器和外网客户端之间的数据链路返回给所述第一用户包括: 将所述目标数据生成符合特定的数据格式的目标数据; 将所述符合特定数据格式的目标数据通过所述内网服务器和外网客户端之间的数据链路返回给所述第一用户。6.一种数据交互装置,其特征在于,用于包括内网服务器、外网客户端和内容服务器的内外网网络中,所述数据交互装置包括: 审核认证模块,用于从所述内网服务器接收第一用户通过所述内网服务器和外网客户端之间的数据链路发送给所述内网服务器的携带待识别授信码的数据交互请求后,依据所述待识别授信码及所述内网服务器和外网客户端之间的数据链路对所述第一用户进行授信审核; 数据交互模块,用于在授信审核通过后,依据所述数据交互请求与所述内容服务器进行交互,获取目标数据; 第一发送模块,用于将所述目标数据通过所述内网服务器和外网客户端之间的数据链路返回给所述第一用户。7.如权利要求6所述的数据交互装置,其特征在于,还包括: 接收模块,用于从内网服务器接收待授信用户进行授信请求时通过所述内网服务器和所述外网客户端之间的通信链路发送给所述内网服务器的用户信息; 身份验证模块,用于审核所述用户信息,判断所述待授信用户是否为合法用户; 授信模块,用于在所述待授信用户为合法用户时,为所述待授信用户分配并记录用于在进行数据交互请求时对用户进行授信审核的授信码,通过所述内网服务器为所述用户分配与所述授信码相对应的所述内网服务器和外网客户端之间的数据链路; 第二发送模块,用于将所述授信码通过所述内网服务器和外网客户端之间的通信链路返回给所述待授信用户,使得待授信用户在进行数据交互请求时携带所述授信码。8.如权利要求7所述的数据交互装置,其特征在于,所述授信模块进一步用于为所述待授信用户分配用于在接收到所述目标数据时对所述目标数据进行解密的解密密钥; 所述第二发送模块进一步用于将所述授信码及所述解密密钥通过所述内网服务器和外网客户端之间的通信链路返回给所述待授信用户,使得待授信用户在进行数据交互请求时携带所述授信码,在接收到所述目标数据时对所述目标数据进行解密。9.如权利要求7所述的数据交互装置,其特征在于,还包括: 控制模块,用于控制所述内网服务器检测所述外网客户端的指定端口是否开启; 创建模块,用于当所述指定端口开启时,创建所述内网服务器与所述外网客户端之间的通信链路,使得所述内网服务器通过所述通信链路控制所述外网客户端开启与进行数据交互请求相关的服务。10.如权利要求6所述的数据交互装置,其特征在于,所述第一发送模块包括: 生成单元,用于将所述目标数据生成符合特定的数据格式的目标数据; 发送单元,用于将所述符合特定数据格式的目标数据通过所述内网服务器和外网客户端之间的数据链路返回给所述第一用户。11.一种数据交互系统,其特征在于,包括内网服务器、外网客户端、内容服务器及如权利要求6-10任一项所述的数据交互装置。
【专利摘要】本发明提供了一种数据交互方法、装置及系统,用于包括内网服务器、外网客户端和内容服务器的内外网网络中,所述数据交互方法包括:从所述内网服务器接收第一用户通过所述内网服务器和外网客户端之间的数据链路发送给所述内网服务器的携带待识别授信码的数据交互请求后,依据所述待识别授信码及所述内网服务器和外网客户端之间的数据链路对所述第一用户进行授信审核;在授信审核通过后,依据所述数据交互请求与所述内容服务器进行交互,获取目标数据;将所述目标数据通过所述内网服务器和外网客户端之间的数据链路返回给所述第一用户。采用本发明的技术方案,通过对数据交互请求进行授信审核,实现内外网数据的安全性交换。
【IPC分类】H04L29/06, H04L9/08
【公开号】CN104901928
【申请号】CN201410082969
【发明人】肖燕锋, 俞霞
【申请人】中国移动通信集团浙江有限公司
【公开日】2015年9月9日
【申请日】2014年3月7日
最新回复(0)